5 Oracle Key Vaultのルート・オブ・トラストとしてHSMを統合するためのベンダーの手順

HSMベンダーは、HSMをOracle Key Vaultと統合するための手順を文書化してテストする責任があります。

• Oracle Key Vaultのルート・オブ・トラストとしてのHSMの統合について
  このタイプの統合により、Oracle Key VaultはThales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のHSMを使用できます。
• 統合を開始する前の要件
  Oracle Key Vaultと統合するHSMのベンダーは、クライアント・ソフトウェアのインストール方法の手順を提供したり、PKCS#11ライブラリで必要な機能が提供されるようにするなど、特定の要件を満たす必要があります。
• HSMの統合
  統合プロセスには、構成ファイルとスクリプトの設定が含まれます。
• HSM構成の成功の確認
  HSMとの統合中の、HSMの有効化、Oracle Key Vaultのアップグレード、バックアップ、リストアなどのテスト操作は、統合の成功を確認するために不可欠です。
• Oracle Key Vaultのルート・オブ・トラストとしてのHSMの検証
  ベンダーは、HSMをOracle Key Vaultと統合する方法についての手順を作成した後で、統合を検証する必要もあります。

5.1 Oracle Key Vaultのルート・オブ・トラストとしてのHSMの統合について

このタイプの統合により、Oracle Key VaultはThales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1以外のHSMを使用できます。

ベンダーは、Oracle Key Vault管理者と協力して統合を完了する必要があります。Oracle Key Vaultには、パラメータと環境変数の設定を有効にするためのファイルと、アップグレード・プロセスに役立つスクリプトが用意されています。Oracle Key Vault管理者は、これらのスクリプトを構成する必要があります。使用方法および構成方法に関するドキュメントを提供し、今後のリリースでこのドキュメントを更新する必要があります。

一般に、次のステップを実行する必要があります。

1. HSMが、HSMクライアント・ソフトウェアをインストールする機能、PKCS#11ライブラリの必須機能の検証、およびHSMのクライアントとしてOracle Key Vaultをエンロールする機能を含む、統合を実行するための要件を満たしていることを確認します。
2. 構成ファイル、環境変数ファイルおよびアップグレード・スクリプトを管理するためのドキュメントを提供します。HSMのニーズの変化に応じて、このドキュメントを更新するようにします。Oracle Key Vaultには、okv_hsm.conf、okv_hsm_envおよびokv_hsm_mid_upgradeのファイルがあります。
3. Oracle Key VaultをHSMと統合するために必要なステップを文書化したら、統合の成功を確認します。これには、HSMの有効化と、アップグレード、バックアップ、リストア操作などのタスクの実行が含まれます。
4. スタンドアロン、マルチマスター・クラスタおよびプライマリ/スタンバイ環境で、HSMをルート・オブ・トラスト(RoT)として検証します。

5.2 統合を開始する前の要件

Oracle Key Vaultと統合するHSMのベンダーは、クライアント・ソフトウェアのインストール方法の手順を提供したり、PKCS#11ライブラリで必要な機能が提供されるようにするなど、特定の要件を満たす必要があります。

• ベンダーのHSMクライアント・インストール・ソフトウェアの要件
  HSMクライアント・ソフトウェアのインストール・プロセスで、HSMクライアント・ソフトウェアを独自のディレクトリにインストールするなどの要件が満たされる必要があります
• PKCS#11ライブラリの要件
  ベンダーとして、ライブラリで、必要なすべてのPKCS#11機能がサポートされるようにします。
• HSMクライアントとしてOracle Key Vaultをエンロールするための構成要件
  HSMでは通常、Oracle Key VaultをHSMのクライアントとしてエンロールするための追加構成が必要です。

5.2.1 ベンダーのHSMクライアント・インストール・ソフトウェアの要件

HSMクライアント・ソフトウェアのインストール・プロセスで、HSMクライアント・ソフトウェアを独自のディレクトリにインストールするなどの要件が満たされる必要があります

ベンダーは、次の操作を実行する必要があります。

• Oracle Key Vaultがインストールされているものと同じサーバー上の独自のディレクトリ(/optディレクトリの下の新しいサブディレクトリ)にHSMクライアント・ソフトウェアをインストールします。
• oracleユーザーとして実行することで、PKCS#11ライブラリを使用するクライアント・ソフトウェアのファイル権限を設定します。
• rootユーザーに対してのみ、HSMクライアント・ソフトウェアによって提供される構成ファイルの変更を許可します。
• Oracle Key Vaultのdbfwdb.serviceサービスの前に、HSMクライアント・ソフトウェアによって導入される新しいサービスが起動されるようにします。dbfwdb.serviceユニット構成ファイルは編集しないでください。

5.2.2 PKCS#11ライブラリの要件

ベンダーとして、ライブラリで、必要なすべてのPKCS#11機能がサポートされるようにします。

PKCS#11ライブラリで、次の関数が提供される必要があります。

• C_CloseSession
• C_Decrypt
• C_DecryptInit
• C_Encrypt
• C_EncryptInit
• C_Finalize
• C_FindObjects
• C_FindObjectsFinal
• C_FindObjectsInit
• C_GenerateKey
• C_GenerateRandom
• C_GetFunctionList
• C_GetSlotList
• C_GetTokenInfo
• C_Initialize
• C_Login
• C_OpenSession

5.2.3 HSMクライアントとしてOracle Key Vaultをエンロールするための構成要件

HSMでは通常、Oracle Key VaultをHSMのクライアントとしてエンロールするための追加構成が必要です。

このエンロールにより、Oracle Key VaultとHSMの間の通信が可能になります。

ベンダーは、これらの詳細な手順を文書化して保持する必要があります。要件は次のとおりです。

• この手順で、HSM構成が他のOracle Key Vaultファイルまたはコンポーネントに影響しないようにする必要があります。
• クライアントとHSMサーバーの間の通信は暗号化される必要があります。

5.3 HSMの統合

統合プロセスには、構成ファイルとスクリプトの設定が含まれます。

• okv_hsm.confパラメータ
  Oracle Key Vaultには、Oracle Key Vault管理者がベンダー名などの情報を定義できる構成ファイルが用意されています。
• okv_hsm_env環境ファイル
  Oracle Key Vaultには、PKCS#11ライブラリを使用する場合に必要になる環境変数をOracle Key Vault管理者が指定できるように、環境ファイルが用意されています。
• okv_hsm_mid_upgradeスクリプト
  Oracle Key Vaultには、アップグレード中に失われた可能性のある構成の再適用に役立つスクリプトが用意されています。
• アップグレード前またはアップグレード後の検証スクリプト
  アップグレード・プロセスの前後にOracle Key Vault管理者が実行できるアップグレード前またはアップグレード後のスクリプトを指定して、HSM構成が正しいことを確認できます。

5.3.1 okv_hsm.confパラメータ

Oracle Key Vaultには、Oracle Key Vault管理者がベンダー名などの情報を定義できる構成ファイルが用意されています。

okv_hsm.confファイルは、/usr/local/okv/hsm/generic/ディレクトリにあります。ベンダーとして、okv_hsm.conf構成ファイルを完成させるための正しい方法(このドキュメントの以降のリリースに対応した更新を含む)を文書化する必要があります。

okv_hsm.confファイルには、次の設定が含まれています。

• VENDOR_NAME="name_of_vendor"
  • このパラメータは必須です。
  • この設定により、Oracle Key Vault管理コンソールで、ユーザーがHSMの資格証明の初期化および設定の操作を実行するときに、ベンダー・ドロップダウン・リストにname_of_vendor値を表示できます。
• PKCS11_LIB_LOC="pkcs11_library_path"
  • このパラメータは必須です。
  • Oracle Key Vault管理者は、インストールされているHSM PKCS#11ライブラリの場所へのフルパスを指定し、このファイルをPRESERVED_FILESパラメータで定義されたファイルのリストに含める必要があります。
• PRESERVED_FILES="path_to_directory:path_to_file:pkcs11_library_path"
  • このパラメータは必須ですが、次のメジャー・バージョン・アップグレードまで使用されません。
  • Oracle Key Vaultのアップグレード先は、次のOracle Key Vaultのメジャー・バージョンになることも、同じOracle Key Vaultのメジャー・バージョンの新しいアップグレードになることもあります。新しいOracle Key Vaultのメジャー・バージョンへのアップグレードは、リリース・アップグレードまたはメジャー・バージョン・アップグレードと呼ばれます。新しいマイナー・バージョンへのアップグレードは、リリース更新アップグレードまたはマイナー・バージョン・アップグレードと呼ばれます。Oracle Key Vaultリリース18.xからOracle Key Vaultリリース21.xへのアップグレードが、メジャー・バージョン・アップグレードの例です。同様に、Oracle Key Vaultリリース21.1からOracle Key Vaultリリース21.2へのアップグレードが、マイナー・バージョン・アップグレードの例です。メジャー・バージョン・アップグレードで、Oracle Key VaultアプライアンスのOLのメジャー・バージョンもリフレッシュされる場合があります。たとえば、Oracle Key Vaultリリース18からOracle Key Vaultリリース21.1へのアップグレードによって、OSバージョンがOL 6からOL 7にリフレッシュされ、21.6へのアップグレードによってOL 8に切り替わります。
  • Oracle Key Vaultでは、OSバージョンが新しいメジャー・バージョンにリフレッシュされる場合にのみ、メジャー・バージョン・アップグレードにこのパラメータを使用します。このパラメータにより、ベンダー固有のファイルおよびディレクトリをこれらのアップグレードで存続させることができます。このパラメータで指定されていないファイルおよびディレクトリは削除される可能性があります。したがって、HSMクライアント・ソフトウェアの設定中に作成されたか、Oracle Key VaultがPKCS#11ライブラリを使用してHSMと通信できるようにするために必要になる、すべてのファイルとディレクトリを含める必要があります。Oracle Key Vault上にデフォルトで存在していたファイルおよびディレクトリを指定しないでください。
  • Oracle Key Vault管理者は、次に示すように、次の形式(各パスをコロン(:)で区切ることを含む)を使用してファイルおよびディレクトリを指定する必要があります。

    PRESERVED_FILES="path_to_directory:path_to_file:pkcs11_library_path"

5.3.2 okv_hsm_env環境ファイル

Oracle Key Vaultには、PKCS#11ライブラリを使用する場合に必要になる環境変数をOracle Key Vault管理者が指定できるように、環境ファイルが用意されています。

HSMのPKCS#11ライブラリに特殊な環境変数が必要な場合、Oracle Key Vault管理者はこれらの変数をokv_hsm_envファイルに含めることができます。okv_hsm_envファイルを完成させるための正しい方法(このドキュメントの以降のリリースに対応した更新を含む)を文書化する必要があります。

5.3.3 okv_hsm_mid_upgradeスクリプト

Oracle Key Vaultには、アップグレード中に失われた可能性のある構成の再適用に役立つスクリプトが用意されています。

ベンダーとして、okv_hsm_mid_upgradeスクリプトを完成させるための正しい方法(このドキュメントの以降のリリースに対応した更新を含む)を文書化する必要があります。

このスクリプトは、アップグレード中、特にオペレーティング・システムのバージョンをアップグレードするメジャー・バージョンで、ユーザー・アカウントなどの情報が新しいOracle Key Vaultバージョンで再作成されるようにするために必要です。アプライアンスが新しいオペレーティング・システムのバージョンで再起動した後、Oracle Key VaultはHSMのルート・オブ・トラスト(RoT)キーにアクセスする必要があるため、これらの変更はアップグレード中に実行される必要があります。

ベンダーは、アップグレード中に変更する必要がある構成に対処する必要があります。スクリプトによって、次のアクションが実行される必要があります。

• Oracle Key VaultがHSMに正常に接続するために必要な、インストールされているHSMソフトウェア、ユーザー、グループ、サービスまたはその他の構成を確認します。
• アップグレード中に変更されたか、アップグレード後に欠落している構成(ユーザー、グループ、構成、サービス)を修正します。

たとえば、HSMインストールに、HSMクライアント・ソフトウェア設定の一部としてサービスが含まれていて、Oracle Key VaultがHSMに接続するためにそのサービスが必要な場合は、アップグレード中スクリプトで、両方のサービスが存在し、実行中であることを確認して適用する必要があります。ユーザーを作成した場合は、アップグレード中スクリプトで、ユーザーが存在することと、アップグレードの開始前に所有していたHSM関連ファイルを引き続き所有することの両方を確認する必要があります(または、必要に応じてユーザーとchownのファイルを再作成します)。パラメータ・ファイルに指定されているように保持されるファイルまたはディレクトリ以外のものはすべて削除される可能性があるため、このスクリプトで、Oracle Key Vaultサーバー自体のベンダー所有のすべてのファイルとディレクトリ(およびその権限)を詳細に確認および修正することが理想的です。

アップグレード前にDNSサーバーがOracle Key Vaultの設定に保存されている場合は、このステップで、ホスト名解決が機能することを信頼できます。

5.3.4 アップグレード前またはアップグレード後の検証スクリプト

アップグレード・プロセスの前後にOracle Key Vault管理者が実行できるアップグレード前またはアップグレード後のスクリプトを指定して、HSM構成が正しいことを確認できます。

これらのスクリプトは、Oracle Key Vault管理者が、アップグレードの開始前またはアップグレード完了後にすべてのHSM関連の構成が想定どおりであることを確認するのに役立ちます。

ベンダーとして、これらのスクリプトを構成するための正しい方法(このドキュメントの以降のリリースに対応した更新を含む)を文書化する必要があります。

5.4 HSM構成の成功の確認

HSMとの統合中の、HSMの有効化、Oracle Key Vaultのアップグレード、バックアップ、リストアなどのテスト操作は、統合の成功を確認するために不可欠です。

• スタンドアロン環境でのHSMの有効化
  HSMは、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1などの標準のHSMを有効化できる方法とほぼ同じ方法で、スタンドアロンのOracle Key Vault環境のルート・オブ・トラスト(RoT)として有効にする必要があります。
• HSMが有効になっているOracle Key Vaultサーバーのアップグレードの実行
  ベンダーは、Oracle Key Vaultの通常のアップグレード方法とほぼ同じ方法で、他のHSMと統合されているOracle Key Vaultサーバーをアップグレードできる必要があります。
• HSMが有効になっているOracle Key Vaultサーバーのバックアップの実行
  ベンダーは、Oracle Key Vault管理コンソールで、HSMが有効になっているOracle Key Vaultサーバーのバックアップを実行できる必要があります。
• HSMが有効になっているOracle Key Vaultサーバーのリストアの実行
  ベンダーは、Oracle Key Vault管理コンソールから、HSMが有効になっているOracle Key Vaultサーバーのリストアを実行できる必要があります。
• マルチマスター・クラスタでのHSM構成の成功の確認
  マルチマスター・クラスタ環境でHSM構成を確認するには、ベンダーが単一ノードまたはクラスタ全体から開始して、マルチマスター・クラスタでHSMを有効化できる必要があります。
• プライマリ/スタンバイ環境でのHSM構成の成功の確認
  プライマリ/スタンバイ環境でHSM構成を確認するには、ベンダーがスイッチオーバーおよび逆移行の操作を実行する必要があります。
• 逆移行操作の実行
  この操作で、ベンダーはOracle Key Vaultサーバーを逆移行して、ルート・オブ・トラスト(RoT)構成としてのHSMを削除します。

5.4.1 スタンドアロン環境でのHSMの有効化

HSMは、Thales Luna Network HSMバージョン7000、Entrust nShield Connect +およびXCモデル、UtimacoのSecurityServer 4.31.1などの標準のHSMを有効化できる方法とほぼ同じ方法で、スタンドアロンのOracle Key Vault環境のルート・オブ・トラスト(RoT)として有効にする必要があります。

HSMベンダーは、トークン・ラベルを指定する方法の手順を提供する必要があります。トークン・ラベルを指定することをお薦めします。

次の動作は、HSMの有効化操作が成功したことを示します。

• 操作が完了すると、Oracle Key Vault管理コンソールの「Hardware Security Module」ページに成功メッセージが表示されます。
• Oracle Key Vault管理コンソールの「Hardware Security Module」ページに緑色の上向きステータス矢印があり、その下に正しいHSM情報があります。
• Oracle Key Vaultを再起動すると、Oracle Key Vault管理コンソールが表示され、ユーザーがログインできるようになります。これにより、サーバーが再起動されたときに、無人モードで新しいHSMを使用できるようになります。Oracle Key Vault管理者ガイドの説明に従って、Oracle Key Vault管理コンソールからOracle Key Vaultを再起動できます。

/var/okv/log/hsmディレクトリにあるログ・ファイルを確認します。

この操作によって、RoTキーが作成されて、HSMでキー番号オブジェクトが作成または更新されます。キー番号オブジェクトは、一意のキー番号を、HSMで作成された各RoTキーに関連付けるために使用されます。キー番号は1から始まり、連続するHSMの有効化操作が行われるたびに1ずつ増分されます。番号を増分するために、現在の値がフェッチされて更新されます。キー番号オブジェクトの値は、更新操作が完了する前に変更される可能性があります。HSMベンダーは、競合(たとえば、同じキー番号を使用して作成された2つのRoTキー)を防ぐために、特に注意して必要な追加のステップを文書化する必要があります。そうしないと、Oracle Key Vaultサーバーが再起動されたときにOracle Key Vaultが自動ログイン・ウォレットを作成できず、手動操作が必要になることがあります。キー番号は、/var/okv/log/hsmディレクトリ内の生成されたログ・ファイルにあります。

5.4.2 HSMが有効になっているOracle Key Vaultサーバーのアップグレードの実行

ベンダーは、Oracle Key Vaultの通常のアップグレード方法とほぼ同じ方法で、他のHSMと統合されているOracle Key Vaultサーバーをアップグレードできる必要があります。

Oracle Key Vaultのアップグレードを実行し、HSMベンダーのドキュメントで必要になる追加のステップを含めます。

HSMを使用するようにOracle Key Vaultサーバーが構成されている場合、次のアクティビティはアップグレードが成功したことを示します。

• すべてのサーバーに関して、コンソールにOracle Key Vault Server version_number upgrade has completedというメッセージが表示されます(青色の背景)。
• スタンドアロン、マルチマスター・クラスタまたはプライマリ/スタンドアロン構成の場合は、システム管理者ロールを持つユーザーとしてOracle Key Vault管理コンソールにログインします。「System」タブを選択します。最新のリリース番号のバージョンが表示されていることを確認します。リリース番号は、各ページ下部の著作権情報の右側にも表示されます。

5.4.3 HSMが有効になっているOracle Key Vaultサーバーのバックアップの実行

ベンダーは、Oracle Key Vault管理コンソールで、HSMが有効になっているOracle Key Vaultサーバーのバックアップを実行できる必要があります。

Oracle Key Vaultのバックアップ操作を実行します。

次の動作は、バックアップ操作が成功したことを示します。

• Oracle Key Vault管理コンソールの「System Backup」ページの「Completed Backups」の表で、最新のバックアップの「Status」列にDONEが表示され、「Run Error」列に何も表示されません。
• バックアップを正常にリストアできます。

/var/okv/log/hsmディレクトリにあるログ・ファイルを確認します。

5.4.4 HSMが有効になっているOracle Key Vaultサーバーのリストアの実行

ベンダーは、Oracle Key Vault管理コンソールから、HSMが有効になっているOracle Key Vaultサーバーのリストアを実行できる必要があります。

Oracle Key Vaultのリストア操作を実行します。

次の動作は、リストア操作が成功したことを示します。

• Oracle Key Vault管理コンソールの「Restore」ページの「Last Restore Details」で、最新のバックアップの「Status」列にDONEが表示され、「Run Error」列に何も表示されません。
• Oracle Key Vaultが、リストア操作中に自動的に再起動されます。再起動しなかった場合は、リストア操作が正常に完了しなかった可能性があります。サーバーの/var/log/messagesで詳細を確認します。/var/okv/log/hsmディレクトリにあるログ・ファイルも確認します。

5.4.5 マルチマスター・クラスタでのHSM構成の成功の確認

マルチマスター・クラスタ環境でHSM構成を確認するには、ベンダーが単一ノードまたはクラスタ全体から開始して、マルチマスター・クラスタでHSMを有効化できる必要があります。

• HSMが有効になっている単一ノードでの起動
  ベンダーは、単一のHSMが有効になっているノードから開始して、マルチマスター・クラスタを構築してから、他のHSMが有効になっているノードをクラスタに追加できる必要があります。
• 複数のノードを持つクラスタでのHSMの有効化
  ベンダーはまず、HSMが有効になっているノードを持たないマルチマスター・クラスタを構築する必要があります。そこから、ベンダーは、1つずつ各ノードでHSMを有効化します。

5.4.5.1 HSMが有効になっている単一ノードでの起動

ベンダーは、単一のHSMが有効になっているノードから開始して、マルチマスター・クラスタを構築してから、他のHSMが有効になっているノードをクラスタに追加できる必要があります。

1. 1つのノードのHSMを有効化してから、1つ目のノードの読取り/書込みピアとして2つ目のHSMが有効になっているノードを追加します。
   ペアリングの完了後、両方のノードのOracle Key Vault管理コンソールの「Cluster Management」ページに、ACTIVE状態の両方のノードが表示されている必要があります。
2. Oracle Key Vault管理者ガイドの説明に従って、両方のノードを再起動します。
3. Oracle Key Vaultの再起動後、Oracle Key Vault管理コンソールから両方のノードにアクセスできることを確認します。
4. 1つ目または2つ目のノードをコントローラ・ノードとして使用して、3つ目のHSMが有効になっているノードをクラスタに追加します。
   ペアリングの完了後、3つすべてのノードのOracle Key Vault管理コンソールの「Cluster Management」ページで、これらのノードがACTIVE状態であることが表示される必要があります。
5. 3つ目のノードを再起動し、Oracle Key Vault管理コンソールからこのノードにアクセスできることを確認します。
6. 両方の読取り/書込みノードにウォレットを作成します。
7. 両方のウォレットのステータスがPENDINGからACTIVEになることを確認します。
   そのために、3つのノードすべてでウォレットの名前ステータスを確認します。

5.4.5.2 複数のノードを持つクラスタでのHSMの有効化

ベンダーはまず、HSMが有効になっているノードを持たないマルチマスター・クラスタを構築する必要があります。そこから、ベンダーは、1つずつ各ノードでHSMを有効化します。

1. 3つ以上のノード(2つは読取り/書込みピア・ノード、1つは読取り専用ノード)を持つ既存のマルチマスター・クラスタを作成または使用します。
2. このクラスタの1つのノードでHSMを有効にします。
3. HSMが有効になっているノードでHSMバンドルを作成し、クラスタ内の他の2つのノードにHSMバンドルを適用します。
4. Oracle Key Vault管理者ガイドの説明に従って、すべてのノードを再起動します。
5. Oracle Key Vaultの再起動後、Oracle Key Vault管理コンソールからこれらのノードにアクセスでき、3つすべてのノード間でレプリケーションが機能することを確認します。
6. 他の2つのノードでHSMを有効にします。
7. 3つのノードを再起動します。
8. Oracle Key Vaultの再起動後、Oracle Key Vault管理コンソールから3つすべてのノードにアクセスできることを確認します。
9. 両方の読取り/書込みノードにウォレットを作成します。
10. 両方のウォレットのステータスがPENDINGからACTIVEになることを確認します。
    そのために、3つのノードすべてでウォレットの名前ステータスを確認します。

5.4.6 プライマリ/スタンバイ環境でのHSM構成の成功の確認

プライマリ/スタンバイ環境でHSM構成を確認するには、ベンダーがスイッチオーバーおよび逆移行の操作を実行する必要があります。

• HSMが有効になっているプライマリ/スタンバイ構成の作成
  ベンダーは、HSMをルート・オブ・トラスト(RoT)として使用するように、プライマリおよびスタンバイの両方のOracle Key Vaultサーバーを構成できる必要があります。
• HSM対応のプライマリ・スタンバイ・スイッチオーバー操作の実行
  ベンダーは、Oracle Key Vault管理者ガイドの説明に従って、HSMが有効になっているプライマリおよびスタンバイのOracle Key Vaultサーバーのペア間でスイッチオーバー操作を実行できる必要があります。
• HSMが有効になっているプライマリ/スタンバイ構成の逆移行の実行
  ベンダーは、プライマリとスタンバイの両方のHSMが有効になっているOracle Key Vaultサーバーの逆移行を実行できる必要があります。

5.4.6.1 HSMが有効になっているプライマリ/スタンバイ構成の作成

ベンダーは、HSMをルート・オブ・トラスト(RoT)として使用するように、プライマリおよびスタンバイの両方のOracle Key Vaultサーバーを構成できる必要があります。

構成が完了したら、プライマリ・サーバーのOracle Key Vault管理コンソールの「Primary-Standby Status」ページに「Primary-Standby mode is enabled」と表示され、スイッチオーバー・ステータスがTO STANDBYになる必要があります。

プライマリ・サーバーとスタンバイ・サーバーの両方の/var/okv/log/hsmディレクトリのログ・ファイルを確認します。

5.4.6.2 HSM対応のプライマリ・スタンバイ・スイッチオーバー操作の実行

ベンダーは、Oracle Key Vault管理者ガイドの説明に従って、HSMが有効になっているプライマリおよびスタンバイのOracle Key Vaultサーバーのペア間でスイッチオーバー操作を実行できる必要があります。

スイッチオーバー操作が完了したら、新しいプライマリのOracle Key Vault管理コンソールの「Primary-Standby Status」ページに「Primary-Standby mode is enabled」と表示され、スイッチオーバー・ステータスがTO STANDBYになる必要があります。

プライマリ・サーバーとスタンバイ・サーバーの両方の/var/okv/log/hsmディレクトリのログ・ファイルを確認します。

5.4.6.3 HSMが有効になっているプライマリ/スタンバイ構成の逆移行の実行

ベンダーは、プライマリとスタンバイの両方のHSMが有効になっているOracle Key Vaultサーバーの逆移行を実行できる必要があります。

プライマリOracle Key Vaultサーバーで逆移行操作が完了したら、緑色の成功メッセージが表示され、赤色の下向きステータス矢印が表示されます。

次に、次の手順を実行します。

1. スタンバイOracle Key Vaultサーバーを逆移行します。
2. Oracle Key Vault管理者ガイドの説明に従ってスイッチオーバー操作を実行し、操作の成功を確認します。
3. Oracle Key Vault管理者ガイドの説明に従って、プライマリとスタンバイの両方のOracle Key Vaultサーバーを再起動します。
4. プライマリ・サーバーがOracle Key Vault管理コンソールにアクセスできることを確認します。

5.4.7 逆移行操作の実行

この操作で、ベンダーはOracle Key Vaultサーバーを逆移行して、ルート・オブ・トラスト(RoT)構成としてのHSMを削除します。

Oracle Key Vaultで通常行うように、逆移行操作を実行します。

次の動作は、逆移行操作が成功したことを示します。

• 操作が完了すると、Oracle Key Vault管理コンソールに成功メッセージが表示されます。
• Oracle Key Vault管理コンソールの「Hardware Security Module」ページに赤色の下向きステータス矢印があります。
• Oracle Key Vault管理者ガイドの説明に従って、Oracle Key Vaultサーバーを再起動します。こうすると、Oracle Key Vault管理コンソールが表示され、ユーザーがログインできるようになります。これにより、サーバーが再起動されたときに、HSMを使用して自動ログイン・ウォレットを再作成する必要がなくなります。

/var/okv/log/hsmディレクトリにあるログ・ファイルを確認します。

5.5 Oracle Key Vaultのルート・オブ・トラストとしてのHSMの検証

ベンダーは、HSMをOracle Key Vaultと統合する方法についての手順を作成した後で、統合を検証する必要もあります。

• スタンドアロン構成のテスト・ケース
  スタンドアロンのOracle Key Vaultサーバーの場合、ベンダーは、サーバーでHSMを有効にして(初期化)、バックアップとリストアの操作を実行できる必要があります。
• マルチマスター・クラスタ構成のテスト・ケース
  マルチマスター・クラスタ環境のOracle Key Vaultサーバーの場合、ベンダーは、ノードでHSMを有効にして、バックアップとリストアの操作を実行して、クラスタを逆移行して、クラスタをアップグレードできる必要があります。
• プライマリ/スタンバイ構成のテスト・ケース
  プライマリ/スタンバイ構成のOracle Key Vaultサーバーの場合、ベンダーはHSMが有効になっているプライマリ/スタンバイを作成し、標準のプライマリ/スタンバイ操作を実行できる必要があります。

5.5.1 スタンドアロン構成のテスト・ケース

スタンドアロンのOracle Key Vaultサーバーの場合、ベンダーは、サーバーでHSMを有効にして(初期化)、バックアップとリストアの操作を実行できる必要があります。

• テスト1: 3回連続するHSMの有効化操作を実行します。Oracle Key Vaultスタンドアロン・サーバーで、次の操作を次の順序で実行します。

  1. サーバーでHSMを有効にします。

  2. サーバーで逆移行操作を実行します。

  3. サーバーでHSMを有効にします(2回目)。

  4. サーバーで逆移行操作を実行します。

  5. サーバーでHSMを有効にします(3回目)。

  各操作を個別に検証して、操作が成功したことを確認します。HSMに対する最初の3つのHSMの有効化操作で実行される内容が異なるため、これは重要です。最初のHSMの有効化操作では、現在のルート・オブ・トラスト(RoT)キーを追跡するために使用されるキー番号オブジェクトが作成されます。この最初のHSMの有効化操作で、RoTキーも作成されます。2回目のHSMの有効化操作で、キー番号オブジェクトが更新されて、新しいRoTキーが作成されます。3回目のHSMの有効化操作は2回目の操作と同じですが、2回目のHSMの有効化操作でキー番号オブジェクトが正常に更新されたことを確認するために使用されます。

• テスト2: 異なるOracle Key Vaultサーバーで少なくとも3回連続するHSMの有効化操作を実行します。異なるOracle Key Vaultサーバーで3つ以上の初期化操作を順次実行します。各操作を個別に検証して、成功したことを確認します。

• テスト3: スタンドアロンのOracle Key Vaultサーバーでバックアップとリストアの操作を実行します。HSMが有効になっているOracle Key Vaultサーバーにリモートおよびローカルのバックアップを作成します。成功したかどうかについてそれぞれを検証します。その後、ローカル・バックアップを、そのバックアップが作成されたOracle Key Vaultサーバーにリストアします。リモート・バックアップを別のOracle Key Vaultサーバーにリストアします。成功したかどうかについてそれぞれを検証します。

5.5.2 マルチマスター・クラスタ構成のテスト・ケース

マルチマスター・クラスタ環境のOracle Key Vaultサーバーの場合、ベンダーは、ノードでHSMを有効にして、バックアップとリストアの操作を実行して、クラスタを逆移行して、クラスタをアップグレードできる必要があります。

ベンダーとして、次のテストを実行します。

• テスト1: 1つのHSMが有効になっているノードから始めて、HSMが有効になっているクラスタ構成を作成します。その後、この操作が成功したことを確認します。
• テスト2: 複数のノードを持つクラスタでHSMを有効化して、HSMが有効になっているクラスタ構成を作成します。その後、この操作が成功したことを確認します。
• テスト3: HSMが有効になっているノードでバックアップとリストアの操作を実行します。複数のノードでリモート・バックアップを作成し、これらのノードを、新しくインストールされた別のOracle Key Vaultサーバーにリストアします。操作が成功したことを確認します。
• テスト4: HSMが有効になっているノードを持つクラスタを逆移行します。クラスタ内のHSMが有効になっている各ノードを逆移行します。それぞれの操作が成功したことを確認します。
• テスト5: HSMが有効になっているノードを持つクラスタでアップグレードを実行します。ベンダーが認定されている以前のすべてのバージョンのOracle Key Vaultからクラスタ・アップグレードを実行します。それぞれのアップグレードがクラスタのすべてのノードで成功していることを確認します。

5.5.3 プライマリ/スタンバイ構成のテスト・ケース

プライマリ/スタンバイ構成のOracle Key Vaultサーバーの場合、ベンダーはHSMが有効になっているプライマリ/スタンバイを作成し、標準のプライマリ/スタンバイ操作を実行できる必要があります。

これらの操作には、スイッチオーバー、逆移行、バックアップとリストア、およびアップグレードが含まれます。

• テスト1: HSMが有効になっているプライマリ/スタンバイ構成を作成します。操作が成功したことを確認します。
• テスト2: プライマリ・スタンバイ・スイッチオーバー操作を実行します。操作が成功したことを確認します。
• テスト3: HSMが有効になっているプライマリ/スタンバイ構成を逆移行します。操作が成功したことを確認します。
• テスト4: HSMが有効になっている構成でバックアップとリストアの操作を実行します。プライマリ・サーバーでリモート・バックアップを作成し、新しくインストールされた別のOracle Key Vaultサーバーにリストアします。操作が成功したことを確認します。
• テスト5: HSMが有効になっている構成をアップグレードします。ベンダーが認定されている以前のすべてのバージョンのOracle Key Vaultからプライマリ/スタンバイのアップグレードを実行します。プライマリ・サーバーとスタンバイ・サーバーの両方で、それぞれのアップグレードが成功していることを確認します。